Port Forwarding

[red 2 illusion]

Zitat:

Original geschrieben von hps_hstein
also so sicher is NAT auch wieder nicht - hast am Rechner einen Trojaner und keine Firewall am Router dann hast ein Problem

Willst du damit sagen du hast einen Weg gefunden dich per Firewall "mit Sicherheit" vor Trojaner zu schützen?

=WeltPatent=Friedensnobelpreis-Verdächtig

[moar70]

[weila]

hab auch ne kleine frage zu dem thema.

hab so nen billig-home-router von devolo (bei nem wcm gewinnspiel gewonnen und das komische teil hat die funktion "port-forwarding". soweit so gut, nur es findet sich auch eine funktion names "port-trigger". ist das die selbe funktion, nur für portranges?
und was mich noch weiter verwirrt: auch das einrichten von "virtuellen servern" ist möglich, was meiner logik nach doch wieder das selbe ist, oder?

bin ich zu doof dafür, oder liegts am herstellen??

[another1]

Zitat:

Original geschrieben von red 2 illusion
Willst du damit sagen du hast einen Weg gefunden dich per Firewall "mit Sicherheit" vor Trojaner zu schützen?

=WeltPatent=Friedensnobelpreis-Verdächtig

sollte eigentlich möglich sein oder?
eine firewall kann nicht nur für incoming sondern auch outgoing genutzt werden.
die meisten trojaner zielen auf ein gewisses port am anderen ende.
wenn das für outgoing nicht erlaubt ist, dann hat der trojaner wohl pech gehabt.

firewall-prinzip für outgoing:
"verboten ist was nicht explizit erlaubt ist" - ist ja nicht neu.

[hps_hstein]

Genau! Nur kann man von einer Firewall die diese Regeln alle kennt bevor ein neuer Trojaner wohin zugreifen leider wohl nur träumen ...

[red 2 illusion]

.


Wenn jemand eine gute FirewallingAnleitung kennt, immer her damit. (PN)

Zitat:

firewall-prinzip für outgoing:
"verboten ist was nicht explizit erlaubt ist" - ist ja nicht neu

Wie sind dann die ganze Rules-List aus?

[another1]

Zitat:

Original geschrieben von hps_hstein
Genau! Nur kann man von einer Firewall die diese Regeln alle kennt bevor ein neuer Trojaner wohin zugreifen leider wohl nur träumen ...

nochmals:
"verboten ist was nicht explizit erlaubt ist"!

also grundsätzlich nur das outgoing berechtigen, was wirklich benötigt wird.
und wenn möglich für port80 und port443
vorher einen internen proxy verwenden.

d.h dann sollte ein trojaner nur über port 80 bzw. 443 hinaus können, bringt aber net viel weils dann bei der antwort am proxy hängen bleibt.

man könnte den bogen auch noch weiter spannen - socks bzw. application level gateway - aber für privat ist das eher off topic.

[red 2 illusion]

.



http(x) muß nicht auf 80/443 beschränkt sein, vorallem Downloads kommen von verschiedenen Ports. Meist bleibt dir die eigentliche DownloadURL verborgen und du kannst den Download nicht starten ohne die Hosen ganz herunterzulassen.

Zitat:

"verboten ist was nicht explizit erlaubt ist"

Kannst mir bitte eine Liste zukommen lassen von allen Verboten die du setzt. Mir kommt vor du redest von TCP/UDP aber da sind noch ~viele weitere Protokolle, die kann man nicht blocken, denke ich.

Eine Liste bitte! PN mir!

[hps_hstein]

Zitat:

Original geschrieben von red 2 illusion
.



http(x) muß nicht auf 80/443 beschränkt sein, vorallem Downloads kommen von verschiedenen Ports. Meist bleibt dir die eigentliche DownloadURL verborgen und du kannst den Download nicht starten ohne die Hosen ganz herunterzulassen.

Mag sein, dass der HTTP-Server dir dann den eigentlichen Download über ein Port != 80 zukommen läßt, aber um überhaupt mal dem Webserver zu sagen: Hallo, ich will das downloaden! wirst du um Port 80 oder 443 auf einem standardmäßig konfigurierten Webserver nicht herumkommen ...

Zitat:

Kannst mir bitte eine Liste zukommen lassen von allen Verboten die du setzt. Mir kommt vor du redest von TCP/UDP aber da sind noch ~viele weitere Protokolle, die kann man nicht blocken, denke ich.

Eine Liste bitte! PN mir!

Schreib ihm ne Liste mit Sachen, die du erlaubst, is sehr viel kürzer!

Bezüglich der vielen weiteren Protokolle:
Im Internet wird nunmal ausschließlich TCP/IP verwendet, das unterteilt sich dann in TCP, UDP, ICMP und einigen weiteren, die dann z.B. für VPN´s und so intressant sind ...

Zum Normalen Internet-surfen wirst du aber vermutlich keines der VPN-Protokolle brauchen, ebenso kannst du icmp pings abschalten usw. ...

Und für Protokolle wie dem guten alten NetBUI oder wie das hieß, IPX, ... is sowieso spätestens beim Router Endstation

[hps_hstein]

Einige Beiträge weiter oben:

Zitat:

Original geschrieben von red 2 illusion
.


Wenn jemand eine gute FirewallingAnleitung kennt, immer her damit. (PN)




Wie sind dann die ganze Rules-List aus?

Im Falle eines CISCO-Routers:

ip access-list extended FromExternal
permit tcp any eq 80 any
deny ip any any

=> alles was von irgendwo, Port 80 kommt darf rein, Rest (TCP != 80 als Quellport, UDP, ICMP, ...) bleibt draußen